Disaster Recovery Plan
di Telesio Perfetti
1. INTRODUZIONE
Fin dall’ultimo decennio del secolo scorso, soprattutto a seguito dell’avvento dell’informatica nei mercati regolamentati e a seguito della conseguente completa telematizzazione degli stessi , ci si pose il problema di stabilire precise linee-guida e procedure onde ovviare ai rischi di una possibile perdita, cancellazione, distruzione o danneggiamento di tutti quei dati, che fossero di notevole rilevanza per aziende, enti, amministrazioni. Con il nuovo millennio è iniziata quella che si potrebbe ormai definire l’era dell’economia “digitale”, caratterizzata dalla globalizzazione dei servizi e delle informazioni attraverso l’interconnessione di milioni di sistemi informatici. Basti pensare che fino al 2003 i dati erano scambiati, in tempo reale, da un decimo della popolazione mondiale e naturalmente il fenomeno è in aumento, soprattutto grazie allo straordinario sviluppo che ha avuto negli ultimi anni Internet, la “Rete delle reti”. Cresce Internet, ergo cresce la “New Economy”. Ma la Rete, crescendo ed evolvendosi, è divenuta sempre più articolata e complessa ed è proprio tale complessità che ha contribuito in modo significativo all’incremento delle minacce e dei pericoli che possono compromettere l’integrità, la disponibilità e la riservatezza dei dati, qualità queste imprescindibili per un equilibrato sviluppo della nuova economia. Da ciò si deduce che la sicurezza tout-court dei dati è tra le principali criticità da affrontare per garantire e proteggere gli interessi collettivi, i soggetti, gli utenti e i servizi. Ad accrescere il livello di preoccupazione e di attenzione contribuisce un dato di fatto ineludibile: la Rete e le infrastrutture ad essa connesse sono vulnerabili e vulnerabile è tutto ciò che può essere attaccato e danneggiato. D’altra parte sono proprio le vulnerabilità dei sistemi che attirano gli attacchi e gli attacchi provocano danni. Ci sono perciò rischi che vanno individuati e prevenuti al fine di evitare che i danni inneschino un effetto domino in grado di propagarsi prima all’interno dell’organizzazione colpita e poi, di riflesso, su altri sistemi, imprese ed infrastrutture.
E’ necessario dire che i rischi per la Rete e per i sistemi sono non soltanto quelli propriamente logici o tecnologici : vi sono infatti numerose altre minacce che si potrebbero definire “fisiche” ( naturali, accidentali o provenienti dall’uomo ), in aumento anch’esse negli ultimi tempi a causa di vari fattori. Si pensi all’attuale situazione di instabilità politica e di crescente tensione in Medio Oriente ( e, attualmente, soprattutto in Iraq ), che ha contribuito ad incrementare fenomeni di criminalità terroristica, sempre meglio organizzata e sempre più violenta. Tuttavia, a questi pericoli, se ne aggiungono altri, di natura radicalmente diversa. Al riguardo, non si può non fare riferimento alle mutate condizioni climatiche in alcune parti del Mondo a causa del progressivo riscaldamento della Terra, con tutto quel che ne consegue in termini di aumento di calamità naturali. Fattori questi che mettono a repentaglio, in primis, la sicurezza e l’incolumità delle persone, ma anche l’integrità di interi patrimoni aziendali. Tutto ciò ha fatto sì che si addivenisse ad un ripensamento di taluni concetti, come quelli di “caso fortuito” e/o “imprevedibile” ovvero di “accadimento di eccezionale gravità”. Ci si deve porre necessariamente di fronte a scenari difficilmente immaginabili fino a poco tempo fa. Ne sono un tragico esempio gli eventi dell’11 Settembre 2001, con l’attentato alle “Twin Towers”: oltre alle migliaia di vite umane stroncate, è stato colpito anche il simbolo del sistema finanziario internazionale, con danni stimati in 83.000.000.000 di dollari U.S.A. Il crollo tranciò anche cavi telefonici interrompendo simultaneamente 4.000.000 di linee telefoniche ad alta velocità all’interno delle quali viaggiavano dati inerenti ad una parte dell’economia mondiale. E sette giorni dopo nella Rete si è diffuso l’Internet-worm chiamato Nimda, che ha infettato 8.300.000 computer, con danni stimati in 650.000.000 dollari.
Si parte quindi dal presupposto che “il peggio può sempre accadere”, ergo occorre trovare le risposte adeguate per garantire la sicurezza delle persone e dei patrimoni. Accanto all’opera di prevenzione e di intelligence dei Governi ( anche in collaborazione tra loro), vi sono le strategie dei privati, soprattutto delle organizzazioni aziendali, nelle quali si è risvegliata l’attenzione per quella parte della sicurezza dei sistemi informativi automatizzati, che si identifica nella cd. “Business Continuity”, di cui ( come si vedrà ) il “Disaster Recovery Plan”, è parte integrante . Il D.R.P. dunque non è altro che un piano di emergenza informatica che va posto in essere in determinate circostanze e che ricomprende procedure per l’impiego provvisorio di un C.E.D. alternativo o comunque l’impiego di macchine di soccorso da utilizzare in attesa della riattivazione del C.E.D. principale. Tuttavia per approntare un idoneo D.R.P. è necessario considerarne gli aspetti tecnici ( sicurezza fisica e logica ), strategici ( obbiettivi e budget ), organizzativi ( definizione di ruoli e procedure, formazione del personale ), economici ( analisi dei costi ) e, non ultimi, quelli legali ( leggi, regolamenti, codici di condotta, raccomandazioni ).
2. IMPORTANZA DEL “DISASTER RECOVERY PLAN” ALLA LUCE DEL D.LGS. 196/2003 ( “CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI” )
Partendo proprio dagli aspetti legali, occorre dire che il nuovo “Codice in materia di protezione dei dati personali” ( D.lgs 196/2003 ) prescrive taluni obblighi onde assicurare il salvataggio dei dati personali trattati elettronicamente ( e, quindi, tramite sistemi informatici ) in caso di loro danneggiamento e/o distruzione. Anzitutto, in base al Codice, costituisce misura di sicurezza “minima” ( e quindi da adottare per non incorrere in responsabilità penali ) l’adozione di procedure per la custodia di copie di sicurezza ( “back-up” ) e per il ripristino dei dati e dei sistemi ( art.34, lett.f del Cod. ). A ciò si aggiunga il punto ( o regola ) 18 del “Disciplinare tecnico” allegato al Codice ( cd. Allegato B ), in base al quale debbono essere impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Inoltre il punto 23 dello stesso All.B stabilisce l’obbligo di adottare misure idonee a garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. Infine per quanto concerne il contenuto del “Documento programmatico sulla sicurezza” ( cd. D.P.S., riguardante però solo i dati sensibili e giudiziari ), il punto 19.5 dell’All.B dispone, tra le altre cose, che siano descritti criteri e modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al punto 23 ( v. sopra ) . Il combinato disposto di tali norme va considerato anche in relazione all’art.31 del Cod., che si può reputare quale vero e proprio cuore pulsante dell’intera normativa sulla sicurezza dei dati personali, dal momento che senza mezzi termini indica quale sia il vero obbiettivo da perseguire in tale campo: la riduzione al minimo dei rischi di distruzione o perdita, anche accidentale, dei dati ( oltre che la riduzione al minimo dei rischi di accesso non autorizzato o di trattamento non consentito o non conforme ).
Insomma, l’insieme di codesti articoli e regole costituisce in un certo senso il “filo rosso” o la direttiva da seguire nella stesura e nell’attuazione di un D.R.P. idoneo ai fini del salvataggio di quei dati personali ( di clienti, di fornitori, di dipendenti, di investitori e di creditori ), che vengono conservati e trattati da una azienda insieme con altri tipi di dati ( come si vedrà nel paragrafo 4.1, dedicato all’analisi dei rischi e del loro impatto sui dati e sui sistemi ), che sono essenziali alla sopravvivenza dell’organizzazione stessa e che devono essere anch’essi salvaguardati. La conclusione, a questo punto, non può che essere la seguente: un D.R.P. efficace serve a salvare tutti i dati, sia quelli di interesse strettamente patrimoniale ed economico, sia quelli aventi carattere propriamente personale, che inevitabilmente vengono ad essere trattati e gestiti nei sistemi informatici di un’ente, di un’impresa, di un’amministrazione.
Ma un D.R.P. deve essere previsto e tenuto presente non in qualsivoglia incidente o emergenza, bensì, come si è detto in precedenza, solo in determinate circostanze. Ergo, in caso di emergenze transeunti e di breve durata potrà essere sufficiente una costante ed ordinaria procedura di back-up , ma in caso di evento catastrofico, ovvero di “disastro”, non basteranno siffatte contromisure. Ed è proprio in tali casi che è necessario intervenire con un piano di D.R., che deve essere concepito all’interno della logica più ampia della “Business continuity” ( B.C. ).
3. DIFFERENZA TRA DISASTER RECOVERY E BUSINESS CONTINUITY. DEFINIZIONE DI DISASTER RECOVERY.
Nella realtà quotidiana, tutte le aziende ( grandi, medie o piccole che siano ) e financo l’utente di casa dovrebbero predisporre un proprio piano di ripristino in caso di disastro. E’ fin troppo ovvio che tale piano sarà commisurato alle caratteristiche stesse dell’azienda ( dimensioni, tipo di attività, rilevanza sul mercato, criticità delle informazioni trattate e altri fattori che verranno analizzati successivamente ), e, comunque, è altrettanto chiaro che tutto va programmato e collaudato prima di reagire ad un eventuale evento distruttivo. Tuttavia qualche precisazione è necessaria: è vero che la B.C. ( come anche il D.R.P. ), fa parte del cd. “dominio dell’emergenza” , ma ha come obbiettivo quello di evitare l’interruzione del business in generale e prende quindi in considerazione tutti gli eventi indesiderati e, di conseguenza, tutte le risorse a sostegno dei processi aziendali. Il D.R.P. invece tiene conto solo di eventi disastrosi, che si possono definire “estremi” ( quegli eventi cioè a scarsa probabilità di accadimento, ma ad alto impatto sul business ) e che sono in grado di provocare un danno di rilevante entità, sul piano della continuità operativa, ai servizi I.T . In poche parole il D.R.P. si colloca all’interno della B.C. e considera solo l’I.T. e cioè l’insieme del sistema informatico e di tutte le risorse ad esso relative ( le persone che lo gestiscono, l’organizzazione, le politiche e le procedure correlate, i siti ove è collocato ).
Si potrebbe quasi dire che obbiettivo ultimo di un progetto di B.C. sia la definizione di un D.R.P., che dunque rappresenta l’insieme di quegli adempimenti di tipo fisico, logico, organizzativo, amministrativo, logistico e legale, atti a fronteggiare un evento a carattere catastrofico, che renda indisponibili le risorse deputate alle operazioni di elaborazione dei dati. Il D.R.P. è in sostanza un “processo” che consente di ripristinare il normale o indispensabile funzionamento dell’operatività aziendale e il trattamento dei dati precedentemente interrotti da un evento indesiderato di natura eccezionale e cioè da quello che può definirsi quale vero e proprio “disastro” in un sistema informatico automatizzato .
4. FASI NECESSARIE ALLA REALIZZAZIONE DEL PIANO DI DISASTER RECOVERY
Si è già sottolineata in precedenza l’importanza di una pianificazione a priori per gestire nel modo migliore possibile una qualsivoglia situazione di crisi. E’ infatti evidente che un’azienda che improvvisa un D.R.P., nel momento in cui si è verificato il disastro, in primo luogo si pone al di fuori della legge ( ad es., per quel che concerne i dati personali, v. art.34, lett.f del Cod. e i punti 19.5 e 23 dell’All.B ), in secondo luogo ( il che è ben più grave ) ottiene come risultato una situazione di panico totale, nella quale nessuno sa cosa fare. Ergo è necessario, in via preventiva, ideare, testare e, se necessario, aggiornare un piano di D.R., proprio per cercare, quanto meno, di contenere la confusione che potrebbe crearsi in circostanze di assoluta emergenza. Per altro, non v’è dubbio alcuno che in caso di disastro la salvaguardia delle vite umane deve essere considerata come priorità assoluta su tutto il resto e ciò non può non essere contemplato in un D.R.P.
Si è parlato di piano per la realizzazione di un D.R. e pertanto il D.R.P. non può che essere un progetto, complesso, dettagliato e articolato in più fasi, all’interno delle quali dovranno essere evidenziati gli aspetti strategici, procedurali, tecnici e giuridici.
In sintesi si possono porre in rilievo le seguenti fasi in un D.R.P.:
· Analisi degli “Asset”;
· Analisi dei rischi e dell’impatto che essi possono determinare sugli asset aziendali ed in particolare sui sistemi informatici e sui dati trattati per loro tramite;
· Analisi di fattibilità del piano;
· Pianificazione e formalizzazione del D.R.;
· Collaudo finale attraverso la “simulazione di disastro”;
· Mantenimento del piano, aggiornamento dello stesso e formazione del personale.
Occorre ora analizzare specificamente le suddette fasi.
4.1 ANALISI DEGLI “ASSET”
In questa fase debbono essere considerati e attentamente valutati i cd. “asset”, ossia i“beni preziosi” del sistema informativo aziendale.
Occorre anzitutto stabilire ( in ordine di priorità ) quali elementi hardware e quali applicazioni software ( incluse le banche-dati ) siano indispensabili per l’attuazione dei processi automatizzati di trattamento dei dati. La classificazione delle applicazioni viene fatta in base a fattori che ne determinano il rispettivo peso. Tali fattori sono i seguenti: livello di criticità attribuito alle applicazioni, valutazione qualitativa e tempo massimo di indisponibilità delle stesse.
Per quanto riguarda la criticità delle applicazioni, si possono distinguere diversi livelli di importanza:
· “applicazioni critiche”, ossia quelle applicazioni che non possono essere eseguite senza essere sostituite da strumenti di caratteristiche identiche ( es. firewall, antivirus, connettività con la Rete ). Non sono sostituibili con metodi manuali e la tolleranza in caso di interruzione è molto bassa e di conseguenza il costo molto alto;
· “applicazioni vitali”, ossia quelle applicazioni sostituibili con metodi manuali, ma solo per un breve periodo di tempo e con alti costi di interruzione ( es. programmi automatizzati per la contabilità aziendale o per la redazione del bilancio e del rendiconto ) ovvero non sostituibili con metodi manuali, ma con costi di interruzione più bassi ( es. programmi per l’aggiornamento e il potenziamento del sistema operativo );
· “applicazioni sensibili” o “delicate”, ossia quelle applicazioni che possono essere sostituite da metodi manuali per un lungo periodo e a costi tollerabili ( es. gestione della corrispondenza commerciale; rilievo delle presenze e assenze del personale; sistemi di accesso in locali riservati, per i quali è possibile sostituire dispositivi ad alta tecnologia, come la biometria, con controlli “fisici” dall’esterno ). Tuttavia esse richiedono un certo sforzo e soprattutto terrebbero impegnate risorse umane in numero superiore a quello previsto in condizioni normali;
· “applicazioni non critiche”, ossia applicazioni che possono subire interruzioni anche lunghe e facilmente sostituibili con metodi manuali e a costi modesti, se non addirittura nulli ( es. archiviazione di dati pubblici di clienti e fornitori ).
Sul piano della valutazione qualitativa, occorre effettuare una stima della possibile o probabile perdita economica dovuta al mancato utilizzo di ognuna delle applicazioni. Siffatta stima può essere rappresentata attraverso diversi livelli di danno, e precisamente:
· “danno compromissivo”: il danno può riflettersi in pesanti perdite economiche, che potrebbero porre in serio pericolo anche la futura posizione dell’azienda nel mercato ( es. perdita dei dati del bilancio o del fatturato, perdita dei dati relativi al know-how );
· “danno grave”: le perdite hanno un’entità non trascurabile nella redditività generale dell’azienda ( es. perdita dei dati sensibili dei clienti o del personale, o dei dati relativi alle strategie di mercato );
· “danno assorbibile”: il danno non è recuperabile ( è necessaria cioè la radicale sostituzione del bene ), ma implica perdite economiche marginali rispetto al volume di affari dell’azienda ( es. distruzione di fax o di stampanti );
· “danno recuperabile”: il danno potrà essere eliminato non appena il sistema verrà riattivato ( es. sostituzione o riparazione di alcune periferiche del computer, come i modem );
· “danno nullo”: il danno non ha rilevanza patrimoniale e non è esprimibile in termini economici ( es. perdita dei tappetini su cui vengono posizionati i mouse per il loro utilizzo ).
E’ infine necessario stabilire il tempo massimo di indisponibilità e di inoperabilità delle applicazioni sopportabile dall’azienda per non perdere la sua posizione sul mercato e la sua credibilità ( cd. “network recovery objective” ). E a tal proposito, occorre fare dapprima una stima statistica di tale tempo ( raffronto con i tempi di altre aziende operanti nello stesso settore ), per poi procedere alla sua precisazione ( in relazione alle esigenze effettive dell’azienda interessata ). Tale valore è molto importante in quanto verrà utilizzato nella fase di analisi del rischio, per determinare i tempi massimi di ripristino delle applicazioni e degli accessi ai dati.
Tuttavia l’analisi degli asset non può esaurirsi con le valutazioni pertinenti alle applicazioni. È necessario classificare anche gli elementi idonei al corretto ripristino. E ovviamente, ai fini del successo di un D.R.P., non si può prescindere né dall’esistenza di un sito alternativo, ove ricoverare le infrastrutture prima che sia riattivato il sito principale, né dall’effettuazione dei cd. “back-up” o copie di sicurezza. Per quanto riguarda il primo aspetto, per ora è sufficiente dire che nel D.R.P. debbono essere date precise indicazioni sulla localizzazione dei siti e dei sistemi alternativi da utilizzare provvisoriamente.
Per quel che concerne i back-up, invece, gli organi di vertice dell’azienda, ma in particolare i titolari del trattamento dei dati, devono stabilire chi sia il responsabile della generazione della copie di sicurezza, in quale modo vadano generate, chi le debba custodire e dove debbano essere archiviate. Tali decisioni devono esser prese in funzione della rilevanza dei dati da salvare e della necessità di salvaguardare gli interessi dell’impresa e dei soggetti, dei cui dati si tratta. Sulla base di tali elementi potrà quindi essere stabilito cosa debba essere salvato e con quale frequenza . Ma non basta generare e custodire le copie di sicurezza, bisogna anche testarle, verificarne l’efficienza. Quindi custodia e collaudo sono assolutamente necessari: sarebbe inutile infatti produrre i back-up per poi non averli a disposizione, perché inservibili,smarriti, danneggiati, trafugati.
Ottimi strumenti per i back-up sono i supporti cd. “rimuovibili”, che, a differenza dei dischi rigidi, possono essere trasportati da un luogo all’altro. Varie sono le specie di siffatti supporti rimuovibili: i “floppy-disk” , i “nastri” , i “cd-rom”. Tutti dovranno essere custoditi negli appositi contenitori e ricoverati in armadi o ambienti protetti e accessibili solo al personale autorizzato. Bisognerà in ogni caso prestare attenzione alle disposizioni con cui vengono applicate le etichette sulle custodie dei supporti: esse debbono essere chiare e leggibili, in modo da poter indicare subito il contenuto ed il grado di importanza dei dati.
4.2 ANALISI DEI RISCHI
In tale fase vengono evidenziati i principali rischi conseguenti a calamità naturali o ad altri eventi imprevisti di rilevante entità, che possono avere impatti estremi sulla funzionalità dell’infrastruttura I.T. e quindi sul funzionamento del business in generale. È chiaro quindi che il D.R.P. deve prendere in considerazione solo alcuni tipi di minacce ( quelle relative al dominio dell’emergenza, v. nota 7, pag.7 ), come è altrettanto ovvio che, per quel che concerne i dati personali ( sensibili e giudiziari ), l’analisi dei rischi fatta in tale sede si colloca all’interno della più generale analisi dei rischi, prevista dal punto 19.2 dell’All.B quale parte integrante del contenuto del D.P.S.
Partendo dall’analisi dei rischi in generale si può giungere all’individuazione delle seguenti minacce:
· rischi naturali: si tratta di pericoli dovuti a fattori esterni o a cause di forza maggiore. In genere vi rientrano tutte le calamità naturali ( bufere, uragani, tempeste, gelo, movimenti di ghiacci e valanghe, grandine, alluvione, allagamento, inondazione, caduta massi, terremoto, eruzioni vulcaniche, scariche atmosferiche, perturbazioni elettromagnetiche ). Tra tali rischi vanno attentamente considerati i cd. “rischi specifici”, vale a dire tutte le minacce derivanti dalla collocazione territoriale dell’azienda e quindi dall’ubicazione degli uffici in cui si custodiscono i dati e si svolgono le varie operazioni di trattamento ( es. vicinanza ad un fiume, edifici aziendali siti in zona sismica etc. );
rischi provenienti dall’uomo: sono di varia natura. Anzitutto devono essere considerate le “minacce fisiche volontarie”. Per talune di esse si tratta di vere e proprie fattispecie delittuose ( sommosse popolari, guerre civili, attentati terroristici, sabotaggi, furti, rapine, appropriazioni o utilizzazioni indebite di fondi di clienti, utilizzazione indebita di beni a scopo di guadagno, truffe tradizionali, danneggiamenti e atti vandalici, incendi dolosi, spionaggio industriale da parte di concorrenti o di servizi di intelligence stranieri ). Altre minacce, appartenenti a tale categoria, sono senza dubbio volontarie, ma non costituiscono reato ( es. astensione prolungata dal lavoro; tuttavia non bisogna dimenticare anche eventi ben più gravi, come guerre mosse da Paesi terzi contro il nostro Stato ). Poi vi sono le “minacce fisiche involontarie”, talune “interne” ( comportamenti negligenti, imprudenti o imperiti del personale, come in caso di errori operativi, omissioni, incuria, carenza di manutenzione dei P.C., cattiva organizzazione, rotture accidentali dell’hardware o dei supporti dovuti a cadute, urti o collisioni ), talune “esterne” ( caduta accidentale o colposa di velivoli o di oggetti di pertinenza degli stessi sugli stabilimenti aziendali; danni provocati, accidentalmente o per colpa, dai clienti presenti in azienda; errori di costruzione e di montaggio ovvero inadeguata manutenzione delle apparecchiature da parte del personale messo a disposizione dalle imprese, con le quali si siano stipulati contratti di assistenza tecnica ). Infine non vanno sottovalutate le “minacce logiche” ( spamming; attacchi d.o.s.; codici maligni come virus, worm e malware in genere; accessi abusivi esterni, come quelli di hacker, cracker, lamer; accessi abusivi interni, come quelli degli insider; frodi informatiche; intercettazione, interruzione e impedimento illeciti di trasmissioni di dati e di comunicazioni telematiche, ma anche falsificazione, alterazione e soppressione del contenuto delle comunicazioni stesse );
· rischi tecnologici: degrado o usura degli strumenti dovuti alla loro utilizzazione o ad accumulo di polvere, vulnerabilità (“bugs”) del software, indisponibilità momentanea della rete o interferenze presenti in essa, black-out di breve durata, variazioni di corrente elettrica ( sottotensioni o viceversa sovratensioni ), indisponibilità prolungata dell’alimentazione ( si pensi al black-out del 28 Settembre 2003, che paralizzò il nostro Paese per diverse ore della giornata ), corti circuiti ( che talora possono anche generare incendi ).
Ebbene, il D.R.P. si occupa particolarmente di tutti i rischi “naturali” e “specifici”, delle minacce umane e tecnologiche più gravi ( guerre di ogni tipo, moti popolari violenti e tumulti, attentati, sabotaggi, incendi dolosi o colposi, danneggiamento di gran parte delle infrastrutture aziendali, cadute di aerei sugli edifici dell’azienda, per accidente o per colpa del pilota; indisponibilità dell’alimentazione per lungo tempo ).
Analizzate le tipologie di rischi che interessano il D.R.P., occorre poi svolgere una dettagliata analisi sull’impatto che tali rischi possono avere sull’azienda ( “Business Impact Analysis” o B.I.A. ). Tramite tale analisi si considerano le conseguenze del disastro in relazione a determinate variabili, rappresentate dal tempo massimo di ripartenza ( strettamente collegato al tempo massimo di indisponibilità delle applicazioni, come si è visto in precedenza ) e dalla definizione delle priorità di ripristino ( e cioè dall’individuazione dei dati e dei sistemi, che vanno ripristinati con precedenza assoluta sugli altri ). Riguardo ai dati personali, la legge fissa il tempo massimo di ripristino in sette giorni ( punto 23 dell’All.B ), ma naturalmente i tempi dipendono dal tipo di dati trattati e dai diritti oggetto di tutela .
A questo punto si può stabilire quale sia la massima perdita tollerabile di dati e cioè quale sia il massimo rischio sostenibile, in relazione ad una certa scala di valori, che potrebbe essere la seguente ( in ordine decrescente di importanza ):
· dati sensibili del personale, dei fornitori, dei clienti e di terzi con i quali l’azienda abbia istaurato rapporti d’affari;
· dati critici dell’azienda ( fatturato, bilancio, rendiconti, piani di marketing e strategie di mercato, dati “proprietari” e “scientifici” quali know-how, brevetti, licenze soft-ware… );
· dati giudiziari e dunque relativi al contenzioso tra azienda e terzi ( personale, fornitori, creditori, clienti, P.A., aziende concorrenti… );
· dati comuni del personale, dei collaboratori, dei fornitori o dei clienti, che vengano forniti tramite informativa ( partita I.V.A., data di nascita, residenza, numeri telefonici non presenti in pubblici elenchi o numeri di cellulare, indirizzi e-mail… );
· dati comuni del personale, dei clienti o di terzi che si possono attingere a fonti pubbliche ( si pensi ai numeri telefonici inseriti in pubblici elenchi ).
Per quanto riguarda le applicazioni, occorre far riferimento al peso che esse hanno, in relazione all’analisi degli asset fatta in precedenza. In particolare andranno ripristinati quanto prima:
· i files di istallazione: è necessario aver subito a disposizione il software licenziato, in modo da rendere più spedita la sostituzione del sistema;
· le misure di protezione logica ( firewall, intrusion detection, antivirus ), nonché le credenziali di autenticazione per l’accesso ai sistemi ( password, user-id, p.i.n., certificati digitali, token, credenziali biometriche );
· i files di configurazione della V.P.N .
E’ chiaro che ai fini di un corretto ed idoneo ripristino dei sistemi e dell’accesso ai dati è necessario aver prima fatto accuratamente i back-up correlativi ( come si è detto in precedenza: v. nota 3, pag.4 e v. par. 4.1, pagg. 12-13 ), averli conservati ed averli mantenuti in efficienza. Inoltre è opportuno tenere un elenco aggiornato di tutte le dotazioni hardware e software con le sostituzioni e le riparazioni effettuate in precedenza. È necessario registrare ( es. su cd-rom ) tutte le patch di protezione, le hot-fix e gli altri interventi di rafforzamento dei sistemi, per poi archiviarli al sicuro in un luogo custodito. Lo stesso può dirsi delle “credenziali di autenticazione”, come le password, i P.I.N. o gli altri codici identificativi e di accesso ai P.C., necessari talora anche per l’utilizzazione di certificati digitali o delle smart-cards.
4.3 ANALISI DI FATTIBILITA’ DEL PIANO
I tempi di ripartenza dell’infrastruttura I.T. dipendono dal tipo di soluzione adottata nel D.R.P. Ma per scegliere tale soluzione ( ad es., hot-site, cold-site etc.: v. par. 5 ), è indispensabile predisporre uno studio di fattibilità. Tale studio, per esigenze di coerenza, dovrebbe essere svolto proprio dal responsabile dell’analisi dei rischi e della B.I.A. ( possibilmente un vero e proprio “Security Manager” ), sotto la supervisione degli organi di vertice aziendale.
I fattori da considerare ai fini della scelta della soluzione di D.R. più aderente alle esigenze dell’organizzazione sono molteplici. Anzitutto va tenuta in conto la situazione iniziale dell’infrastruttura con tutti i suoi asset; bisogna poi verificare i risultati sia dell’analisi dei rischi attinenti al dominio dell’emergenza sia della B.I.A.; infine c’è da valutare l’infrastruttura per il recovery ( ubicazione, struttura del c.e.d. alternativo, risorse di rete, back-up, personale, elementi di supporto ). Il tutto è finalizzato a rispondere ai seguenti quesiti fondamentali: se cioè la soluzione di D.R. prescelta sia funzionale al ripristino; se consenta un ripristino solo parziale o totale; in quanto tempo si ottenga il ripristino e inoltre come, dove, quando e ad opera di chi; ed infine quanti e quali soggetti e infrastrutture debba interessare.
A questo punto è necessaria l’analisi dei costi (analisi di tipo quantitativo, che si affianca alla precedente valutazione qualitativa dei danni effettuata nella fase di analisi degli asset, poiché la scelta dell’una o dell’altra soluzione di D.R. potrà essere più o meno economica: maggior sicurezza è sinonimo di costi alti, viceversa a costi bassi si otterrà un livello di sicurezza minore, ergo occorrerà trovare un giusto equilibrio tra i costi di infrastruttura per il D.R. ( “sopportabile livello di spesa” ) e le perdite economiche dovute all’evento disastroso ( “ragionevole controllo del rischio” ). Quest’ultima variabile è molto importante in quanto in essa rientrano non soltanto le perdite patrimoniali e quelle di dati critici, ma anche i costi pertinenti alla gestione del periodo post-crisi e al rischio di una pubblicità negativa per l’azienda, soprattutto nei casi in cui il disastro sia stato causato da attività umana. Per altro vanno valutati gli obblighi e le responsabilità in caso di propagazione dei danni ad un’altra organizzazione.
L’analisi di fattibilità del piano di D.R. può avere diversi esiti:
· approvazione del progetto (si può così passare alla fase di pianificazione del D.R.) ;
· revisione del progetto ( nel caso in cui siano richiesti aggiornamenti o modifiche );
· richiesta di rinvio;
· annullamento del progetto (in caso di mancata accettazione ).
In ogni caso la parola definitiva spetterà agli organi di vertice dell’azienda ( su tutti, il c.d.a.).
4.4 PIANIFICAZIONE E FORMALIZZAZIONE DEL D.R.P.
La fase di progettazione del D.R. si articola essenzialmente in due sottofasi: un piano generale o di massima ed un piano di dettaglio.
Il piano generale deve, in primo luogo, descrivere l’architettura complessiva da realizzare ( aspetti logistici ), comprensiva delle componenti hardware e software. Si devono cioè individuare, oltre al sito del c.e.d. alternativo, i luoghi ove collocare fisicamente i singoli elementi di ripristino , dopo averne fatto l’inventario. In secondo luogo occorre fissare gli obbiettivi da perseguire ( aspetti strategici ), in relazione alle priorità stabilite nelle precedenti analisi degli asset, dei rischi e del corrispondente impatto sui dati, sui sistemi e sui beni patrimoniali. Infine bisognerà rispettare i vincoli economici (rispetto del budget stanziato dai vertici aziendali per la realizzazione del piano) e legali (v. le prescrizioni del d.lgs. 196/2003 e dell’All.B per il trattamento di dati personali e v. altre normative menzionate in precedenza nella nota 5, pagg. 5-6).
Al piano di massima, non può che seguire il piano di dettaglio, che si articola in tre momenti:
a) “progettazione” E’ il momento più importante. Dapprima si individuano dettagliatamente le componenti hardware e software oggetto del progetto ( quantità e tipologia degli elementi di ripristino ). Indi si stabiliscono le procedure di gestione del sistema, andando a specificare ruoli, funzioni e responsabilità ( chi-deve-fare-cosa ). Di conseguenza andrà prevista una prima fase di contenimento ( da assegnarsi ad un apposito team per le attività di emergenza ), onde limitare l’entità dell’incidente ed evitare danni maggiori. A tale fase seguirà quella di attivazione di un livello minimo di operatività, che garantisca i trattamenti indispensabili, fino al totale recupero, che consiste, materialmente, in una nuova installazione di tutti i files dei dati e dei programmi alterati o distrutti ovvero nella sostituzione delle componenti hardware danneggiate. Si dovrà procedere alla designazione di un organo investito della responsabilità di decidere se e quali azioni intraprendere durante la crisi, e tale organo dovrà anche sapere ove reperire risorse umane e tecnologiche necessarie, qualora fossero indisponibili o insufficienti quelle interne. Vi deve essere anche uno specifico team, cui affidare, da una parte, la gestione delle pubbliche relazioni per ridurre i rischi di perdita di immagine e, dall’altra, le decisioni sul se, come, quando avvertire dell’accaduto i clienti, gli eventuali partner, i fornitori o addirittura l’opinione pubblica e i media. Sarà poi necessario avere a disposizione un team che si occupi degli affari legali e cioè di tutti gli aspetti inerenti alle implicazioni giuridiche e normative ( eventuale contenzioso giudiziario per risarcimento dei danni o viceversa opportunità di giungere a transazioni, ove possibile; coinvolgimento delle forze di polizia, collaborazione con le stesse nelle attività d’indagine ). Inoltre è bene predisporre un gruppo di lavoro specificamente preposto alla valutazione dei danni ( perdita di hardware e software, distruzione di dati, tempo dedicato al ripristino, costi legali, danni di immagine…) ed alla stesura della relativa documentazione. Infine risulta estremamente importante ( anche a fini legali ed investigativi ) assegnare ad un organo qualificato la stesura di un rapporto al fine di descrivere l’accaduto, la successione cronologica dei fatti, il metodo con cui l’incidente è stato affrontato, un inventario dei beni coinvolti e l’impatto dell’evento sugli stessi. Tale attività di “follow-up” ( cioè di documentazione successiva all’avvenimento indesiderato ) costituisce il presupposto per giudicare se il gruppo di gestione dell’incidente abbia ben operato, se abbia ricevuto le giuste informazioni ( e con le dovute modalità ) e con quale rapidità abbia reagito: si potranno così valutare eventuali responsabilità interne e, se del caso, si cercherà di sviluppare una nuova analisi del rischio.
b) “pianificazione delle attività”
Vengono qui indicate le attività e il tempo necessari alla realizzazione del progetto, i gruppi di lavoro, le conoscenze richieste per ogni singola attività, le modalità di coinvolgimento del personale. Le attività consistono nell’istallare e configurare gli apparati e le applicazioni. Si dovranno quindi fissare i momenti per verificare lo stato di avanzamento del progetto. Di tale stato di avanzamento dei lavori dovrà darsi conto in una apposita relazione. Vanno da ultimo controllati i costi ( per verificare se si rientra nei limiti del budget stanziato ).
c) “definizione dei test”
I test in questione sono quelli relativi alla progettazione del piano, non alla simulazione del disastro. Dunque si tratta di test da effettuarsi periodicamente per verificare ( secondo precise regole e secondo determinati parametri di valutazione ) la funzionalità dei vari elementi di ripristino, delle applicazioni e delle singole unità operative, in modo da valutare l’efficienza dell’intera infrastruttura. Di siffatte verifiche si dovranno stendere precisi rapporti, secondo modalità prestabilite.
Non c’è dubbio che di tali tre sottofasi, comprese all’interno del piano di dettaglio, dovranno essere redatti i relativi documenti, i quali si aggiungono a quelli stesi precedentemente riguardo all’analisi degli asset, all’analisi dei rischi, alla B.I.A. e allo studio di fattibilità. Il tutto va a costituire il D.R.P. Tuttavia vanno allegati a tale piano, ai fini del suo completamento, il “manuale delle procedure di emergenza” e gli elenchi e i riferimenti del personale coinvolto, sia interno all’azienda, sia esterno ( in caso di outsourcing ). Nel manuale delle emergenze vengono descritte e formalizzate le procedure che devono essere seguite nella fase di recovery ( procedure che, come si è visto, sono oggetto di studio e analisi nella sottofase di progettazione ). Attraverso la consegna del manuale al personale interessato, si assolve così a quella funzione di comunicazione e informazione preventiva, necessaria per rendere operativo il D.R.P., in modo che ognuno sia conscio del proprio ruolo e sappia cosa fare, ma anche come, dove e quando agire.
4.5 COLLAUDO FINALE
Dopo aver pianificato l’intera infrastruttura, dopo averla periodicamente testata nelle sue singole componenti e nel suo insieme e dopo aver formalizzato il piano di D.R., è necessario procedere al collaudo finale, tramite la vera e propria “simulazione di disastro”, esercitazione questa da tenersi a cadenza almeno semestrale ( quanto meno una volta all’anno ) sotto la responsabilità del security manager e sotto la supervisione degli organi di vertice aziendale.
4.6 MANTENIMENTO E AGGIORNAMENTO DEL PIANO. FORMAZIONE DEL PERSONALE
In tale fase devono essere definite le procedure per la gestione dei cambiamenti e delle revisioni del progetto. Gli aggiornamenti sono infatti necessari e, con riguardo ai dati personali, l’art. 31 del Cod. ( disposizione questa estensibile a tutti gli altri dati rilevanti per l’organizzazione ) pone l’obbligo di custodire e controllare i dati “anche in relazione alle conoscenze acquisite in base al progresso tecnico”. In tal modo, alla natura dei dati e alla tipologia dei trattamenti si aggiunge un altro elemento che permette di determinare quali siano le misure di sicurezza più adatte a ridurre al minimo il rischio di perdita dei dati per qualsivoglia causa ( “anche accidentale” ).
Per attuare gli idonei cambiamenti in un progetto così delicato come il piano di D.R., il personale interessato, in seguito ad intesa con i vertici aziendali, dovrà essere affiancato, per un certo periodo, da esperti aventi la funzione di supporto, in modo che si possano individuare subito le modifiche minori da apportare alla soluzione di D.R. adottata. Certo è che, se si tratta di mutamenti strutturali, sarà indispensabile un ripensamento ed una reiterazione del processo di progettazione.
Altro aspetto fondamentale è rappresentato dalla formazione del personale. Il primo aspetto da sottolineare è che la formazione deve essere completa: non solo tecnica, dunque, ma anche “giuridica” in un certo qual senso. Il personale dipendente coinvolto nell’attuazione del D.R.P. dovrà quindi conoscere il manuale delle emergenze ( e quindi le relative procedure e priorità ) e gli aggiornamenti del piano, dovrà ricevere, se necessario, un adeguato addestramento fisico, dovrà essere reperibile ( ergo, vanno stabilite idonee turnazioni ) e dovrà conoscere anche le normative ( minime ed ulteriori, se richieste ) sul trattamento dei dati personali e sulle relative responsabilità. Per altro, in riferimento al trattamento automatizzato dei dati sensibili e giudiziari, il D.P.S. deve prevedere espressamente interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare ( v. punto 19.6 dell’All.B ) .
I corsi di formazione per la gestione delle emergenze vengono affidati a specifiche figure professionali ( previamente individuate e dotate della necessaria competenza e preparazione tecnica e giuridica ), le quali organizzeranno il programma dei corsi stessi, gli argomenti da trattare e le eventuali esercitazioni. Al termine del periodo di addestramento, verranno date le valutazioni sui singoli, sulla qualità dei corsi e sulla loro reale efficacia.
5. I SITI ALTERNATIVI
In precedenza si è affermato che per attivare un D.R.P. occorre ( oltre alla generazione e alla ordinata tenuta e custodia dei back-up ) la disponibilità di un sito alternativo, distante dal sito principale, collocato possibilmente in zone a bassa o bassissima sismicità e non esposte a particolari rischi ( ad es. vicinanza presso fiumi, presso laghi o presso dighe ovvero presenza di alture soggette a pericolo di smottamenti o di frane… ), cosicché si possa garantire la continuità del business aziendale e si possano collocare le risorse umane e tecnologiche all’uopo necessarie, in base a quanto stabilito in fase di progettazione. Si è pur detto che l’infrastruttura di D.R. ha un suo costo, ergo deve funzionare solo quando serve ( e cioè al verificarsi di determinati eventi ). Ebbene, in base alle esigenze dell’azienda e al costo del sito alternativo ( il tutto evidenziato in fase di studio di fattibilità ), possono scegliersi le seguenti soluzioni:
· Hot site: è un centro dotato di un’infrastruttura completa ( hardware, software di base, cablaggio, pavimento sopraelevato, impianto di condizionamento, rilevatore di temperatura e umidità, u.p.s., gruppo elettrogeno, controlli di accesso fisico e sistemi anti-furto, impianto anti-incendio e para-fulmine… ) e integralmente configurato. È in grado di funzionare entro poche ore dal disastro, e cioè può accogliere personale, programmi, dati e documentazione per consentire all’azienda di ripartire in tempi minimi. Naturalmente per rendere effettiva una scelta simile è indispensabile che le apparecchiature e i sistemi operativi siano compatibili con l’installazione primaria ( “standardizzazione” o “interoperabilità” ). Trattasi di una soluzione particolarmente costosa e che può funzionare solo per un periodo di tempo limitato. Un hot site può essere “interno” ( cioè di proprietà dell’azienda ) ovvero “esterno” ( in outsourcing ) .
· Warm site: il sito è parzialmente configurato, dotato di connessioni alle reti e di unità periferiche ( unità disco, unità nastro ), ma privo della c.p.u. ( unità centrale ) e dei computer. L’installazione e l’avviamento dell’unità centrale potrebbero richiedere alcuni giorni, ma, una volta apprestati i componenti necessari, il centro è in grado di partire in poche ore e, per di più, trattasi di una soluzione meno costosa rispetto all’hot site. Naturalmente le misure di sicurezza ( anti-furto, anti-incendio etc. ) devono pur sempre essere le stesse del centro principale ( come si è visto anche per l’hot site ).
· Cold site: è la soluzione più economica. Il centro stavolta è dotato degli impianti base ( spazi fisici, cavi, elettricità, impianto di condizionamento, anti-incendio etc. ), tuttavia non è configurato. Trattasi di un vero e proprio sito “dormiente”, di un locale “vuoto” privo dell’infrastruttura I.T. Dispone di spazio sufficiente per accogliere personale e apparecchiature con pochissimo preavviso e l’attivazione può richiedere diverso tempo ( 1 o 2 settimane ), dal momento che tale soluzione prevede la partenza a freddo ( “cold” appunto ). Insomma le risorse vengono rese disponibili solo nel momento del bisogno. Talora il cold site può fungere da vero e proprio archivio di storage ( cioè come memoria di massa, né più né meno come un hard-disk).
· Mirrored site: trattasi di un sito completamente ridondato ( mirror = specchio ), di proprietà dell’azienda o, nel caso, condiviso con altra organizzazione ( tramite appositi accordi e soprattutto attraverso lo strumento del consorzio tra due o più imprese ). I dati sono elaborati e memorizzati contemporaneamente nel sito primario e in quello alternativo. A differenza dell’hot site, il mirrored site è sempre attivo e offre vantaggi indiscutibili. Infatti, grazie alla duplicazione remota totale, ogni operazione sul sito primario viene eseguita anche dalle risorse informatiche di quello alternativo, che, in caso di disastro, è in grado di ospitare le persone e di permettere loro di riprendere immediatamente l’attività lavorativa. Senza, tra l’altro, dimenticare che, essendo duplicati anche tutti i sistemi, è possibile considerare il sito alternativo come estensione di memoria del primo e fare in modo che le operazioni siano svolte prima sul sito più “scarico” e subito dopo replicate sull’altro . Naturalmente devono essere adottate apposite misure per proteggere il trasferimento di dati in tempo reale. Sarà così necessario utilizzare un canale sicuro ( es. V.P.N., v. nota 13, pagg.17-18 ) oppure fruire delle prestazioni di due distinti providers per il servizio di T.L.C. ( così nel caso di malfunzionamento dell’uno, si potrà ricorrere all’altro ), così come sarà buona norma usare la crittografia sia per le copie fisiche dei dati, sia per il trasferimento ( soprattutto in caso di condivisione del sito o di affidamento in outsourcing ).
6. TRASFERIMENTO DEL RISCHIO
Un’ultima considerazione va fatta in ordine alla tutela assicurativa del sistema I.T. in caso di evento catastrofico. Infatti, certo è che, adottando idonee misure preventive e un altrettanto idoneo piano di D.R. al fine di garantire la B.C., si possono mitigare i rischi, ridurli al minimo, condividerli o accettarli in misura ragionevole e, talora, evitarli almeno in parte; tuttavia è anche vero che i pericoli di perdita dei dati non possono essere neutralizzati in toto. Ergo, proprio per ovviare a quelle situazioni che non consentono di eliminare il danno ormai prodottosi, è indispensabile trasferire il rischio sulle imprese assicurative verso il pagamento del rispettivo premio. Ovviamente, l’apposito contratto verrà stipulato solo allorché l’impresa di assicurazione avrà valutato molteplici variabili, che possono determinare se coprire un determinato rischio oppure no, quali beni ( non solo materiali ) siano interessati, se e quando aumentare il premio o diminuirlo, se e quando risolvere il contratto. I fattori più importanti da tenere in considerazione sono i seguenti:
· la dimensione dell’azienda, il numero dei dipendenti e il loro livello di preparazione;
· il numero dei beni informatici da assicurare, ma anche il loro stato di manutenzione, poiché sia l’hardware che il software devono essere in grado di assolvere alla loro funzione ;
· la tipologia dei dati da assicurare: l’incidenza sarà diversa a seconda che si tratti di dati “proprietari” o di dati di terzi, ovvero di dati di rilevanza patrimoniale o di dati personali ( e nell’ambito di questi ultimi, bisognerà poi distinguere tra dati comuni o pubblici o neutri, da una parte, e dati sensibili e giudiziari dall’altra ). Dovrà però essere oggetto di adeguata analisi anche la competenza professionale e la formazione del personale addetto al trattamento dei dati stessi;
· le misure di sicurezza ( logiche, fisiche, procedurali, logistiche ) adottate e il loro grado di efficacia, di idoneità e di aggiornamento. È ovvio che contribuirà ad avere un’incidenza positiva sul giudizio dell’impresa assicuratrice l’aver predisposto un serio ed efficiente piano per la B.C. e, in un’ultima analisi, per il D.R.;
· il grado di preparazione del personale responsabile della realizzazione della sicurezza aziendale ed in particolare, qualora fosse presente, del “security manager” ;
· la presenza di personale qualificato che sia addetto alla verifica periodica dell’efficacia delle misure di sicurezza predisposte ed al monitoraggio del sistemi I.T. ( cd. “auditing” );
· le particolari minacce, a cui può essere esposta l’azienda ( a tal proposito si rinvia al par. 4.1 dedicato all’analisi dei rischi, ed in particolare all’analisi dei cd. rischi “specifici”, v. pag. 14 ).
È chiaro che le stesse valutazioni andranno fatte per il sito alternativo di recovery, allorché esista.
Compiuta questa fase di studio, l’impresa assicuratrice, qualora l’azienda le abbia fornito tutte le informazioni richieste e abbia dimostrato di essere affidabile, proporrà una sorta di “contratto a ombrello” ( correntemente denominato “polizza elettronica” ), che tende a coprire tutti i rischi gravanti sul patrimonio I.T., salvo quelli espressamente eccettuati ( cd. formula “all risks”).
Le polizze “all risks” coprono tutti i danni materiali e diretti sui beni informatici e sulle altre apparecchiature elettroniche collocati in azienda ( c.e.d.; c.p.u.; periferiche come stampanti, modem, masterizzatori, scanner; P.C.; televisori; registratori; centralini, telefoni e fax; condizionatori; impianti anti-furto; u.p.s. ) . Vengono inoltre coperti i danni sul software ( di proprietà o concesso in licenza ), sui supporti contenenti dati ( sia di proprietà dell’azienda, sia di proprietà di terzi, inclusi quelli dei clienti ) e talvolta sui supporti di back-up. La polizza copre anche i danni “indiretti” per perdita di profitto, ossia danni conseguenti alla perdita di dati, documenti e programmi.
Talune polizze prevedono la copertura delle spese cd. “extra”, cioè spese maggiori per gli straordinari dei dipendenti, per il noleggio di apparecchiature sostitutive, per prestazioni di servizi da parte di terzi, per il trasporto ( in genere solo per via ordinaria e non per via aerea ) di personale e materiali nei siti di recovery. Talora vengono assicurati i costi per la ricostruzione dell’immagine aziendale sul mercato ( si pensi alle campagne pubblicitarie e alla gestione delle pubbliche relazioni).
7. CONCLUSIONI
La B.C. assicurata dal D.R.P. non deve essere considerata come misura alternativa a quelle di prevenzione, ma come completamento di queste. Essa non è dunque una reazione “emotiva”, repentina e improvvisata, ma un vero e proprio processo aziendale continuo e, quale che sia la soluzione prescelta, l’adozione di un D.R.P. efficace, fattibile e dettagliato consente, oltre che di rispettare la legge, di ridurre notevoli rischi e costi per un’azienda. Permette anzitutto di evitare o, quanto meno, di limitare la perdita di vite umane ( priorità assoluta da considerare ). Poi rende più sostenibili i danni subiti, siano essi “tangibili”, siano essi “non tangibili”.
Alla prima categoria di danni si possono ascrivere le fattispecie di perdite e di costi più rilevanti, e precisamente:
· perdite di materiale ( danni fisici ) e relativi costi di riparazione, sostituzione e ricostruzione;
· perdite dovute alla non disponibilità di informazioni e perdite di dati critici e vitali per i processi di business;
· costi necessari per il lavoro di raccolta e di corretta ricostruzione dei dati;
· costi necessari per il lavoro di preparazione delle comunicazioni in riferimento all’accaduto ( comunicati stampa, posizioni da assumere nei confronti di clienti e fornitori );
· costi legali, qualora possa essere ravvisata una qualsiasi responsabilità dell’azienda relativa alle conseguenze di quanto accaduto ( ad es. mancata o inidonea adozione di misure di sicurezza preventive, con conseguente obbligo di risarcire il danno ai terzi, i cui dati, soprattutto sensibili, siano andati persi, distrutti o danneggiati );
· eventuale aumento dei premi assicurativi.
Non meno rilevanti sono i danni “non tangibili”, cioè i danni derivanti dalla perdita di clientela ( che nel frattempo si rivolge ai concorrenti ), dal rallentamento, se non dall’arretramento, della posizione dell’azienda sul mercato, con conseguente perdita di fiducia da parte dei fornitori ( che potrebbero risolvere i contratti in essere ) e di potenziali futuri investitori ( perdite per svantaggio competitivo ).
Da ciò si deduce che assicurare la continuità nel business ( così come la corretta applicazione delle misure di sicurezza ) vuol dire migliorare l’organizzazione dell’impresa, grazie all’idonea protezione e conservazione di dati e di informazioni, che vanno ad arricchire il patrimonio aziendale “reale”. Se cioè un’azienda opera in sicurezza, gode della fiducia della propria clientela, dei fornitori, dei creditori, degli investitori. La sicurezza è certamente un processo, non un prodotto , tuttavia, alla luce delle considerazioni precedentemente fatte, può diventare investimento e vantaggio in termini di competitività, una sorta di surplus o valore aggiunto per una qualsiasi realtà imprenditoriale.
Bibliografia
Berghella F., “Guida pratica alle nuove misure di sicurezza per la privacy”, MAGGIOLI EDITORE, 2003
Di Salvatore P., “I contratti informatici”, EDIZIONI SIMONE, 2000
Molteni E.- Faenzi F., “La sicurezza dei sistemi informativi. Teoria e pratica a confronto”, MONDADORI INFORMATICA, 2003
Inserito il 16/05/2005 | E-Privacy